Редкая цепочка ошибок OpSec привела к открытию нового банковского ботнета Android, нацеленного на жителей России. По оценкам экспертов, зловред Geost действует с 2016 года и заразил более 800 тыс. Android-устройств и мог контролировать несколько миллиардов рублей.
Открытие было сделано после того, как хакеры решили довериться вредоносной прокси-сети, созданной с использованием вредоносной программы HtBot. HtBot предоставляет прокси-сервис, который можно арендовать, чтобы псевдоанонимно общаться в интернете. Именно анализ сетевого взаимодействия HtBot привел к обнаружению и раскрытию крупной вредоносной операции, которая затронула более 800 тыс. устройств Android.
Киберпреступники крайне неудачно выбрали платформы анонимизации, чтобы скрыть свои следы. Им не удалось зашифровать свои сообщения, что позволило исследователям узнать всю их внутреннюю работу. Найденные чаты показали, как хакеры обращались к серверам, вводили новые устройства в ботнет и как они избегали антивирусов. Но самое интересное — исследователи смогли найти личные переписки киберпреступников. Эксперты не совсем поняли, что подразумевается под «продвижением», поскольку в беседе также упоминались отмывание денег и платежи с использованием популярных среди русскоязычных киберпреступников систем.
Исследователи назвали этот ботнет Geost. Он представляет собой сложную инфраструктуру смартфонов Android, зараженные Android APK, которые похожи на различные поддельные приложения, которые имитируют банковские приложения и приложения социальных сетей. После заражения телефоны подключаются к вредоносу и могут управляться удаленно. Обычно злоумышленники могут также получить доступ к SMS, к их отправке, к общению с банками и перенаправлению трафика телефона на разные сайты. Киберпреступники получают доступ к большому количеству информации пользователя.
С момента заражения устройства C&C-сервер сохраняет полный список SMS-сообщений жертв. Затем сообщения обрабатываются в автономном режиме на командном сервере для автоматического расчета баланса каждой жертвы. После обработки данных злоумышленники могли узнать, у кого из жертв самый большой баланс счета.
Ботнет имеет сложную инфраструктуру, включающую не менее 13 IP-адресов, более 140 доменов и более 140 файлов APK. Главными целями вредоноса были пять банков, большая часть которых расположена в России.
Наши специалисты советуют использовать антивирусные решения всем пользователям Android-устройств. Кроме того, являясь партнером многих российских банков, компания Cloud Networks в портфеле решений имеет ряд продуктов, позволяющих защищать клиентов банков от подобных вирусов и других мошеннических действий злоумышленников.